Novidades no Microsoft Secure Score
Para tornar o Microsoft Secure Score um melhor representante de sua postura de segurança, continuamos a adicionar novos recursos e ações de melhoria.
Quanto mais ações de aprimoramento você tomar, maior será a pontuação segura. Para obter mais informações, consulte Pontuação segura da Microsoft.
O Microsoft Secure Score pode ser encontrado no https://security.microsoft.com/securescoreportal do Microsoft Defender.
Fevereiro de 2024
A seguinte recomendação é adicionada como uma ação de melhoria do Microsoft Secure Score:
Microsoft Defender para Identidade:
- Editar pontos de extremidade do IIS (registro de certificado) inseguros do ADCS (ESC8)
Janeiro de 2024
As seguintes recomendações foram adicionadas como ações de melhoria do Microsoft Secure Score:
Microsoft Entra (AAD):
- Verifique se a 'força MFA resistente a phishing' é necessária para administradores.
- Verifique se as listas de senhas proibidas personalizadas são usadas.
- Verifique se a 'API de Gerenciamento de Serviços do Windows Azure' está limitada a funções administrativas.
Centro de Administração:
- Verifique se 'Aplicativos e serviços de propriedade do usuário' está restrito.
Microsoft Forms:
- Verifique se a proteção interna de phishing para Forms está habilitada.
Microsoft Share Point:
- Verifique se os usuários convidados do SharePoint não podem compartilhar itens que não possuem.
Suporte do Defender para Aplicativos de Nuvem para várias instâncias de um aplicativo
Microsoft Defender para Aplicativos de Nuvem agora dá suporte a recomendações de Pontuação Segura em várias instâncias do mesmo aplicativo. Por exemplo, se você tiver várias instâncias do AWS, poderá configurar e filtrar as recomendações de Pontuação Segura para cada instância individualmente.
Para obter mais informações, consulte Ativar e gerenciar o SSPM (gerenciamento de postura de segurança do SaaS).
Dezembro de 2023
As seguintes recomendações foram adicionadas como ações de melhoria do Microsoft Secure Score:
Microsoft Entra (AAD):
- Verifique se o 'Gerenciamento do Microsoft Azure' está limitado a funções administrativas.
Microsoft Sway:
- Verifique se o Sways não pode ser compartilhado com pessoas fora de sua organização.
Microsoft Exchange Online:
- Verifique se os usuários que instalam suplementos do Outlook não são permitidos.
Zendesk:
- Habilitar e adotar a autenticação de dois fatores (2FA).
- Envie uma notificação sobre alteração de senha para administradores, agentes e usuários finais.
- Habilitar restrições de IP.
- Bloqueie os clientes para ignorar as restrições de IP.
- Administradores e agentes podem usar o aplicativo móvel de suporte do Zendesk.
- Habilitar a autenticação do Zendesk.
- Habilite o tempo limite da sessão para os usuários.
- Bloquear a suposição da conta.
- Bloquear administradores para definir senhas.
- Redação automática.
Documento Net:
- Adotar o SSO (logon único) no netDocument.
Meta Workplace:
- Adotar o SSO (logon único) no Workplace by Meta.
Dropbox:
- Habilite o tempo limite da sessão da Web para usuários da Web.
Atlassian:
- Habilitar a MFA (autenticação multifator).
- Habilitar Logon único (SSO).
- Habilite políticas de senha fortes.
- Habilite o tempo limite da sessão para usuários da Web.
- Habilitar políticas de expiração de senha.
- Segurança do aplicativo móvel Atlassian – Usuários afetados por políticas.
- Segurança do aplicativo móvel Atlassian – Proteção de dados de aplicativo.
- Segurança do aplicativo móvel Atlassian – Requisito de acesso ao aplicativo.
Microsoft Defender para Identidade: Novas recomendações relacionadas ao ADCS (Active Directory Certificate Services):
-
Ações recomendadas de modelos de certificado :
- Impedir que os usuários solicitem um certificado válido para usuários arbitrários com base no modelo de certificado (ESC1)
- Editar modelo de certificado excessivamente permissivo com EKU privilegiado (EKU de qualquer finalidade ou ESC2) (ESC2)
- Modelo de certificado do agente de registro configurado incorretamente (ESC3)
- Editar modelos de certificado configurados incorretamente ACL (ESC4)
- Editar o proprietário de modelos de certificado mal configurados
- Ações recomendadas pela autoridade de certificado :
Para obter mais informações, consulte avaliações de postura de segurança do Microsoft Defender para Identidade.
Outubro de 2023:
As seguintes recomendações foram adicionadas como ações de melhoria do Microsoft Secure Score:
Microsoft Entra (AAD):
- Verifique se a 'força MFA resistente a phishing' é necessária para os administradores.
- Verifique se as listas de senhas proibidas personalizadas são usadas.
Microsoft Sway:
- Verifique se o Sways não pode ser compartilhado com pessoas fora de sua organização.
Atlassian:
- Habilitar a MFA (autenticação multifator).
- Habilitar Logon único (SSO).
- Habilite políticas de senha fortes.
- Habilite o tempo limite da sessão para usuários da Web.
- Habilitar políticas de expiração de senha.
- Segurança do aplicativo móvel Atlassian – Usuários afetados por políticas.
- Segurança do aplicativo móvel Atlassian – Proteção de dados de aplicativo.
- Segurança do aplicativo móvel Atlassian – Requisito de acesso ao aplicativo.
Setembro de 2023:
As seguintes recomendações foram adicionadas como ações de melhoria do Microsoft Secure Score:
Microsoft Proteção de Informações:
- Verifique se a pesquisa de log de auditoria do Microsoft 365 está habilitada.
- Verifique se as políticas DLP estão habilitadas para o Microsoft Teams.
Exchange Online:
- Verifique se os registros SPF são publicados para todos os Domínios do Exchange.
- Verifique se a autenticação moderna para Exchange Online está habilitada.
- Verifique se o MailTips está habilitado para usuários finais.
- Verifique se a auditoria de caixa de correio para todos os usuários está habilitada.
- Verifique se os provedores de armazenamento adicionais são restritos em Outlook na Web.
Microsoft Defender para Aplicativos de Nuvem:
- Verifique se Microsoft Defender para Aplicativos de Nuvem está habilitada.
Microsoft Defender para Office:
- Verifique se Exchange Online políticas de spam estão definidas para notificar os administradores.
- Verifique se todos os formulários de encaminhamento de email estão bloqueados e/ou desabilitados.
- Verifique se os links seguros para aplicativos do Office estão habilitados.
- Verifique se a política de Anexos Seguros está habilitada.
- Verifique se uma política anti-phishing foi criada.
Agosto de 2023
As seguintes recomendações foram adicionadas como ações de melhoria do Microsoft Secure Score:
Microsoft Proteção de Informações:
- Verifique se a pesquisa de log de auditoria do Microsoft 365 está habilitada.
Microsoft Exchange Online:
- Verifique se a autenticação moderna para Exchange Online está habilitada.
- Verifique se Exchange Online políticas de spam estão definidas para notificar os administradores.
- Verifique se todos os formulários de encaminhamento de email estão bloqueados e/ou desabilitados.
- Verifique se o MailTips está habilitado para usuários finais.
- Verifique se a auditoria de caixa de correio para todos os usuários está habilitada.
- Verifique se os provedores de armazenamento adicionais são restritos em Outlook na Web.
Microsoft Entra ID:
Para ver os seguintes novos controles de Microsoft Entra no conector Office 365, você precisa ativar Microsoft Defender para Aplicativos de Nuvem na página Configurações dos conectores de aplicativo:
- Verifique se a proteção de senha está habilitada para Active Directory local.
- Verifique se as 'conexões de conta do LinkedIn' estão desabilitadas.
Sharepoint:
- Verifique se os links seguros para aplicativos do Office estão habilitados.
- Verifique se anexos seguros para SharePoint, OneDrive e Microsoft Teams estão habilitados.
- Verifique se uma política anti-phishing foi criada.
Para ver os novos controles do SharePoint a seguir no conector Office 365, você precisa ativar Microsoft Defender para Aplicativos de Nuvem na página Configurações dos conectores de aplicativo:
- Verifique se o compartilhamento externo do SharePoint é gerenciado por meio de listas de permissões/blocklists de domínio.
- Bloquear OneDrive for Business sincronização de dispositivos não gerenciados.
Integração do Microsoft Secure Score ao Microsoft Lighthouse 365
Microsoft 365 Lighthouse ajuda os MSPs (Provedores de Serviços Gerenciados) a aumentar seus negócios e fornecer serviços aos clientes em escala a partir de um único portal. O Lighthouse permite que os clientes padronizam configurações, gerenciem riscos, identifiquem oportunidades de vendas orientadas à IA (inteligência artificial) e se envolvam com clientes para ajudá-los a maximizar seu investimento no Microsoft 365.
Integramos o Microsoft Secure Score ao Microsoft 365 Lighthouse. Essa integração fornece uma exibição agregada da Pontuação Segura em todos os locatários gerenciados e detalhes de Pontuação Segura para cada locatário individual. O acesso à Pontuação Segura está disponível em um novo cartão na página inicial do Lighthouse ou selecionando um locatário na página Locatários do Farol.
Observação
A integração com o Microsoft Lighthouse 365 está disponível para parceiros da Microsoft que usam o programa CSP (Provedor de Soluções na Nuvem) para gerenciar locatários de clientes.
A integração de permissões do Microsoft Secure Score com o RBAC (controle de acesso baseado em função unificado) Microsoft Defender XDR está agora em Visualização Pública
Anteriormente, apenas Microsoft Entra funções globais (como administradores globais) poderiam acessar o Microsoft Secure Score. Agora, você pode controlar o acesso e conceder permissões granulares para a experiência do Microsoft Secure Score como parte do modelo RBAC unificado Microsoft Defender XDR.
Você pode adicionar a nova permissão e escolher as fontes de dados às quais o usuário tem acesso selecionando o grupo de permissões de postura de segurança ao criar a função. Para obter mais informações, consulte Create funções personalizadas com Microsoft Defender XDR RBAC Unificado. Os usuários veem dados de Pontuação Segura para as fontes de dados às quais têm permissões.
Uma nova fonte de dados Secure Score – Fonte de dados adicional também está disponível. Usuários com permissões para essa fonte de dados têm acesso a dados adicionais no dashboard de pontuação segura. Para obter mais informações sobre fontes de dados adicionais, consulte Produtos incluídos no Secure Score.
Julho 2023
As seguintes recomendações de Microsoft Defender para Identidade foram adicionadas como ações de melhoria do Microsoft Secure Score:
- Remova o atributo "senha nunca expira" de contas em seu domínio.
- Remova os direitos de acesso em contas suspeitas com a permissão Administração SDHolder.
- Gerenciar contas com senhas com mais de 180 dias.
- Remova administradores locais em ativos de identidade.
- Remova contas não administradoras com permissões DCSync.
- Inicie a implantação do Defender para Identidade, instalando sensores em controladores de domínio e outros servidores qualificados.
A seguinte recomendação de workspace do Google foi adicionada como uma ação de melhoria do Microsoft Secure Score:
- Habilitar a MFA (autenticação multifator)
Para exibir esse novo controle, o conector do workspace do Google no Microsoft Defender para Aplicativos de Nuvem deve ser configurado por meio da página Configurações dos conectores de aplicativo.
Maio de 2023
Uma nova recomendação de Microsoft Exchange Online agora está disponível como ação de melhoria do Secure Score:
- Verifique se as regras de transporte de email não permitem domínios específicos.
Novas recomendações do Microsoft SharePoint agora estão disponíveis como ações de melhoria do Secure Score:
- Verifique se a autenticação moderna para aplicativos do SharePoint é necessária.
- Verifique se os usuários externos não podem compartilhar arquivos, pastas e sites que não possuem.
Abril de 2023
Novas recomendações agora estão disponíveis no Microsoft Secure Score para clientes com uma licença de Microsoft Defender para Aplicativos de Nuvem ativa:
- Verifique se existem apenas grupos públicos gerenciados/aprovados organizacionalmente.
- Verifique se a frequência de entrada está habilitada e sessões do navegador não são persistentes para usuários administrativos.
- Verifique se as contas administrativas são separadas, não assinadas e somente na nuvem.
- Verifique se aplicativos integrados de terceiros não são permitidos.
- Verifique se o fluxo de trabalho de consentimento do administrador está habilitado.
- Verifique se as políticas DLP estão habilitadas para o Microsoft Teams.
- Verifique se os registros SPF são publicados para todos os Domínios do Exchange.
- Verifique se Microsoft Defender para Aplicativos de Nuvem está habilitado.
- Verifique se as políticas de gerenciamento de dispositivo móvel estão definidas para exigir configurações avançadas de segurança para proteger contra ataques básicos da Internet.
- Verifique se a reutilização de senha do dispositivo móvel é proibida.
- Verifique se os dispositivos móveis estão definidos para nunca expirar senhas.
- Verifique se os usuários não podem se conectar de dispositivos que estão com a cadeia quebrada ou enraizada.
- Verifique se os dispositivos móveis estão definidos para apagar várias falhas de entrada para evitar comprometimento de força bruta.
- Verifique se os dispositivos móveis exigem um comprimento mínimo de senha para evitar ataques de força bruta.
- Verifique se os dispositivos são bloqueados após um período de inatividade para impedir o acesso não autorizado.
- Verifique se a criptografia de dispositivo móvel está habilitada para impedir o acesso não autorizado a dados móveis.
- Verifique se os dispositivos móveis exigem senhas complexas (Tipo = Alfanumérico).
- Verifique se os dispositivos móveis exigem senhas complexas (Senhas Simples = Bloqueadas).
- Verifique se os dispositivos que se conectam têm um AV e um firewall local habilitados.
- Verifique se as políticas de gerenciamento de dispositivo móvel são necessárias para perfis de email.
- Verifique se os dispositivos móveis exigem o uso de uma senha.
Observação
Para exibir as novas recomendações do Defender para Aplicativos de Nuvem, o conector Office 365 no Microsoft Defender para Aplicativos de Nuvem deve ser alternado por meio da página Configurações dos conectores de aplicativo. Para obter mais informações, confira Como se conectar Office 365 ao Defender para Aplicativos de Nuvem.
Setembro de 2022
Novas recomendações de Microsoft Defender para Office 365 para políticas anti-phishing agora estão disponíveis como ações de melhoria do Secure Score:
- Defina o limite de nível de email de phishing em 2 ou mais.
- Habilite a proteção do usuário representada.
- Habilite a proteção de domínio representada.
- Verifique se a inteligência da caixa de correio está habilitada.
- Verifique se a inteligência para proteção de representação está habilitada.
- Mensagens de quarentena detectadas de usuários representados.
- Mensagens de quarentena detectadas de domínios representados.
- Mover mensagens detectadas como usuários representados pela inteligência da caixa de correio.
- Habilite a opção "mostrar a primeira dica de segurança de contato".
- Habilite a dica de segurança de representação do usuário.
- Habilite a dica de segurança de representação de domínio.
- Habilite a dica de segurança de caracteres incomuns de representação do usuário.
Uma nova recomendação do SharePoint Online agora está disponível como uma ação de melhoria do Secure Score:
- Entre usuários inativos no SharePoint Online.
Agosto de 2022
Novas recomendações de Proteção de Informações do Microsoft Purview agora estão disponíveis como ações de melhoria do Secure Score:
-
Rotulamento
- Estenda a rotulagem de confidencialidade do Microsoft 365 para ativos no mapa de dados do Azure Purview.
- Verifique se as políticas de classificação de dados de rotulagem automática são configuradas e usadas.
- Publique políticas de classificação de dados de rótulo de confidencialidade do Microsoft 365.
- Create políticas de DLP (Prevenção contra Perda de Dados).
Novas recomendações de Microsoft Defender para Office 365 agora estão disponíveis como ações de melhoria do Secure Score:
Anti-spam – Política de entrada
- Defina o limite de BCL (nível de reclamação em massa) de email como 6 ou inferior.
- Defina a ação para assumir a detecção de spam.
- Defina a ação para assumir a detecção de spam de alta confiança.
- Defina a ação para assumir a detecção de phishing.
- Defina a ação para assumir a detecção de phishing de alta confiança.
- Defina a ação para assumir a detecção de spam em massa.
- Mantenha o spam em quarentena por 30 dias.
- Verifique se as dicas de segurança de spam estão habilitadas.
- Verifique se nenhum domínio remetente está na lista de domínios permitidos em políticas anti-spam (substitui "Verifique se não há domínios de remetente permitidos para políticas anti-spam" para estender a funcionalidade também para remetentes específicos).
Anti-spam – política de saída
- Defina o número máximo de destinatários externos que um usuário pode enviar por email por hora.
- Defina o número máximo de destinatários internos aos quais um usuário pode enviar dentro de uma hora.
- Definir um limite da mensagem diária.
- Bloquear usuários que atingiram o limite de mensagens.
- Defina regras automáticas de encaminhamento de email para serem controladas pelo sistema.
Anti-spam – Filtro de conexão
- Não adicione endereços IP permitidos na política de filtro de conexão.
Junho de 2022
Novas recomendações de Microsoft Defender para Ponto de Extremidade e Gerenciamento de Vulnerabilidades do Microsoft Defender agora estão disponíveis como ações de melhoria do Secure Score:
- Não permite o acesso offline aos compartilhamentos.
- Remova a permissão de gravação de compartilhamento definida como Todos.
- Remova compartilhamentos da pasta raiz.
- Defina a enumeração baseada em acesso de pastas para compartilhamentos.
- Atualize Microsoft Defender para Ponto de Extremidade componentes principais.
Uma nova recomendação de Microsoft Defender para Identidade está disponível como uma ação de melhoria de pontuação segura:
- Resolva configurações de domínio não seguros.
Uma nova recomendação de governança de aplicativo agora está disponível como uma ação de melhoria do Secure Score:
- Regular aplicativos com consentimento de contas prioritárias.
Novas recomendações do Salesforce e do ServiceNow agora estão disponíveis como ações de melhoria do Secure Score para clientes Microsoft Defender para Aplicativos de Nuvem. Para obter mais informações, confira Visão geral do Gerenciamento de Postura de Segurança do SaaS.
Observação
Os controles Salesforce e ServiceNow já estão disponíveis em versão prévia pública.
Abril de 2022
- Ative a autenticação do usuário para conexões remotas.
Dezembro de 2021
- Ative Anexos Seguros no modo de bloco.
- Impedir o compartilhamento Exchange Online detalhes do calendário com usuários externos.
- Ative documentos seguros para clientes do Office.
- Ative a configuração de filtro de anexos comuns para políticas anti-malware.
- Verifique se não há domínios de remetente permitidos para políticas anti-spam.
- Create políticas de Links Seguros para mensagens de email.
- Create políticas de limpeza automática de zero hora para malware.
- Ative Microsoft Defender para Office 365 no SharePoint, OneDrive e Microsoft Teams.
- Create políticas de limpeza automática de zero hora para mensagens de phishing.
- Create políticas de limpeza automática de zero hora para mensagens de spam.
- Bloquear o abuso de motoristas conectados vulneráveis explorados.
- Ativar a verificação de unidades removíveis durante uma verificação completa.
Queremos ouvir de você
Se você tiver algum problema, informe-nos postando na comunidade Segurança, Privacidade & Conformidade . Estamos monitorando a comunidade para fornecer ajuda.
Recursos relacionados
- Avaliar postura de segurança
- Acompanhar seu histórico de pontuação segura da Microsoft e cumprir metas
- O que estar por vir.
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.